Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Microsoft Defender pro cloud používá řízení přístupu na základě role v Azure (řízení přístupu na základě role Azure) k poskytování předdefinovaných rolí. Přiřaďte tyto role uživatelům, skupinám a službám v Azure, aby měli přístup k prostředkům podle definovaného přístupu role.
Defender for Cloud vyhodnocuje konfigurace prostředků a identifikuje problémy se zabezpečením a ohrožení zabezpečení. V programu Defender for Cloud zobrazte informace o prostředcích, pokud máte přiřazenou některou z těchto rolí pro předplatné nebo skupinu prostředků: Vlastník, Přispěvatel nebo Čtenář.
Kromě předdefinovanýchrolích
- Čtenář zabezpečení: Uživatel v této roli má k Defenderu pro cloud přístup jen pro čtení. Uživatel může zobrazit doporučení, výstrahy, zásady zabezpečení a stavy zabezpečení, ale nemůže provádět změny.
- Správce zabezpečení: Uživatel v této roli má stejný přístup jako čtenář zabezpečení a může také aktualizovat zásady zabezpečení a zavřít výstrahy a doporučení.
Přiřaďte uživatelům nejnižší roli potřebnou k dokončení úkolů.
Například přiřaďte roli Čtenář uživatelům, kteří potřebují zobrazit informace o stavu zabezpečení prostředku, aniž by museli provádět žádnou akci. Uživatelé s rolí Čtenář nemůžou používat doporučení ani upravovat zásady.
Role a povolené akce
Následující tabulka zobrazuje role a povolené akce v defenderu pro cloud.
| Akce |
Čtenář zabezpečení / Čtenář |
Správce zabezpečení | Vlastník přispěvatele / | Přispěvatel | Vlastník |
|---|---|---|---|---|---|
| (Úroveň skupiny prostředků) | (Úroveň předplatného) | (Úroveň předplatného) | |||
| Přidávání a přiřazování iniciativ (včetně standardů dodržování právních předpisů) | - | ✔ | - | - | ✔ |
| Úprava zásad zabezpečení | - | ✔ | - | - | ✔ |
| Povolení nebo zakázání plánů Microsoft Defenderu | - | ✔ | - | ✔ | ✔ |
| Zavření výstrah | - | ✔ | - | ✔ | ✔ |
| Použití doporučení zabezpečení pro prostředek (použití opravy) |
- | - | ✔ | ✔ | ✔ |
| Zobrazení upozornění a doporučení | ✔ | ✔ | ✔ | ✔ | ✔ |
| Doporučení k vyloučení zabezpečení | - | ✔ | - | - | ✔ |
| Konfigurace e-mailových oznámení | - | ✔ | ✔ | ✔ | ✔ |
Poznámka:
I když jsou uvedené tři role dostatečné pro povolení a zakázání plánů Defenderu pro cloud, role Vlastník je nutná k povolení všech možností plánu.
Konkrétní role potřebná k nasazení komponent monitorování závisí na rozšíření, které nasadíte. Přečtěte si další informace o komponentách monitorování.
Role používané k automatické konfiguraci agentů a rozšíření
Aby mohla role Správce zabezpečení automaticky konfigurovat agenty a rozšíření používaná v programu Defender pro cloudové plány, používá Defender for Cloud nápravu zásad podobnou službě Azure Policy. Aby bylo možné použít nápravu, musí Defender for Cloud vytvářet instanční objekty, označované také jako spravované identity, které přiřazují role na úrovni předplatného. Například instanční objekty pro plán Defender for Containers jsou:
| Instanční objekt | Role |
|---|---|
| Profil zabezpečení služby Azure Kubernetes Service (AKS) pro zřizování služby Defender for Containers | Přispěvatel rozšíření Kubernetes Přispěvatel Přispěvatel služby Azure Kubernetes Service Přispěvatel Log Analytics |
| Defender for Containers zřizování Kubernetes s podporou arc | Přispěvatel služby Azure Kubernetes Service Přispěvatel rozšíření Kubernetes Přispěvatel Přispěvatel Log Analytics |
| Zřizování Služby Azure Policy pro Kubernetes v Defenderu pro kontejnery | Přispěvatel rozšíření Kubernetes Přispěvatel Přispěvatel služby Azure Kubernetes Service |
| Rozšíření zásad zřizování Defenderu pro kontejnery pro Kubernetes s podporou Arc | Přispěvatel služby Azure Kubernetes Service Přispěvatel rozšíření Kubernetes Přispěvatel |
Oprávnění v AWS
Když připojíte konektor Amazon Web Services (AWS), Defender for Cloud vytvoří role a přiřadí oprávnění k vašemu účtu AWS. Následující tabulka uvádí role a oprávnění přiřazená jednotlivými plány vašeho účtu AWS.
| Plán Defenderu pro cloud | Vytvořená role | Oprávnění přiřazená k účtu AWS |
|---|---|---|
| Správa stavu zabezpečení cloudu v programu Defender (CSPM) | CspmMonitorAws | Pokud chcete zjistit oprávnění k prostředkům AWS, přečtěte si všechny prostředky s výjimkou: konsolidovaná fakturace: freetier: fakturace: platby: fakturování: daň: zbabělec: |
| Defender CSPM Defender pro servery |
DefenderForCloud-AgentlessScanner | Pokud chcete vytvořit a vyčistit snímky disků (vymezené značkou), "CreatedBy": "Microsoft Defender for Cloud" Permissions: ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus Oprávnění k EncryptionKeyCreation kms:CreateKey kms:ListKeys Oprávnění pro EncryptionKeyManagement kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey Kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Defender CSPM Ochránce úložiště |
SensitiveDataDiscovery | Oprávnění ke zjišťování kbelíků S3 v účtu AWS, oprávnění ke skeneru Defenderu pro cloud pro přístup k datům v kontejnerech S3 Jen pro čtení S3 Dešifrování Služby správy klíčů Kms:Dešifrování |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Oprávnění ke zjišťování Ciem sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Defender pro servery | DefenderForCloud-DefenderForServers | Oprávnění ke konfiguraci síťového přístupu JIT: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| Defender pro kontejnery | Viz oprávnění AWS v defenderu pro kontejnery | |
| Defender pro servery | DefenderForCloud-ArcAutoProvisioning | Oprávnění k instalaci Služby Arc ve všech instancích EC2 pomocí SSM ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| Ochránce CSPM | DefenderForCloud-DataSecurityPostureDB | Oprávnění ke zjišťování instancí RDS v účtu AWS, vytvoření snímku instance RDS – Výpis všech databází a clusterů RDS – Výpis všech snímků databáze nebo clusteru – Kopírování všech snímků databáze nebo clusteru – Odstranění, aktualizace snímku databáze nebo clusteru s předponou defenderfordatabases - Výpis všech klíčů Služby správy klíčů – Všechny klíče Služby správy klíčů používejte jenom pro RDS ve zdrojovém účtu. – Výpis klíčů Služby správy klíčů s předponou značky DefenderForDatabases – Vytvoření aliasu pro klíče Služby správy klíčů Oprávnění potřebná ke zjišťování instancí vzdálené plochy rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource Kms:ListGrants kms:DescribeKey kms:PutKeyPolicy Kms:Encrypt kms:CreateGrant Kms:EnableKey Kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias Kms:UpdateKeyDescription |
Oprávnění pro GCP
Když připojíte konektor Google Cloud Platforms (GCP), Defender for Cloud vytvoří role a přiřadí oprávnění k vašemu projektu GCP. Následující tabulka ukazuje role a oprávnění přiřazená jednotlivými plány projektu GCP.
| Plán Defenderu pro cloud | Vytvořená role | Oprávnění přiřazená k účtu AWS |
|---|---|---|
| Ochránce CSPM | MDCCspmCustomRole | Tato oprávnění umožňují roli CSPM zjišťovat a kontrolovat prostředky v organizaci: Umožňuje roli zobrazovat a zobrazovat organizace, projekty a složky: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy Umožňuje proces automatického zřizování nových projektů a odebrání odstraněných projektů: resourcemanager.projects.get resourcemanager.projects.list Umožňuje roli povolit služby Google Cloud používané ke zjišťování prostředků: serviceusage.services.enable Používá se k vytváření a výpisu rolí IAM: iam.roles.create iam.roles.list Umožňuje, aby role fungovala jako účet služby a získala oprávnění k prostředkům: iam.serviceAccounts.actAs Umožňuje roli zobrazit podrobnosti projektu a nastavit běžná metadata instance: compute.projects.get compute.projects.setCommonInstanceMetadata Používá se ke zjišťování a prohledávání prostředků platformy AI v organizaci: aiplatform.batchPredictionJobs.list aiplatform.customJobs.list aiplatform.datasets.list aiplatform.datasets.get aiplatform.endpoints.getIamPolicy aiplatform.endpoints.list aiplatform.indexEndpoints.list aiplatform.indexes.list aiplatform.models.list aiplatform.models.get aiplatform.pipelineJobs.list aiplatform.schedules.list aiplatform.tuningJobs.list discoveryengine.dataStores.list discoveryengine.documents.list discoveryengine.engines.list notebooks.instances.list |
| Defender pro servery | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Přístup jen pro čtení pro získání a výpis prostředků výpočetního stroje: compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Obránce pro databázi | defender-for-databases-arc-ap | Oprávnění k automatickému zřizování služby Defender pro databáze ARC compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender CSPM Ochránce úložiště |
data- security-posture-storage | Oprávnění pro cloudový skener Defenderu pro zjišťování kontejnerů úložiště GCP pro přístup k datům v kontejnerech úložiště GCP storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM Ochránce úložiště |
data- security-posture-storage | Oprávnění pro cloudový skener Defenderu pro zjišťování kontejnerů úložiště GCP pro přístup k datům v kontejnerech úložiště GCP storage.objects.list storage.objects.get storage.buckets.get |
| Ochránce CSPM | microsoft-defender-ciem | Oprávnění k získání podrobností o prostředku organizace resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| Defender CSPM Defender pro servery |
MDCAgentlessScanningRole | Oprávnění ke kontrole disků bez agentů: compute.disks.createSnapshot compute.instances.get |
| Defender CSPM Defender pro servery |
cloudkms.cryptoKeyEncrypterDecrypter | Oprávnění k existující roli GCP KMS jsou udělena pro podporu skenování disků, které jsou šifrované pomocí CMEK. |
| Defender pro kontejnery | Viz Oprávnění GCP pro Defender pro kontejnery |
Další kroky
Tento článek vysvětluje, jak Defender pro cloud používá řízení přístupu na základě role Azure k přiřazení oprávnění uživatelům a identifikaci povolených akcí pro každou roli. Teď, když jste obeznámeni s přiřazeními rolí potřebnými k monitorování stavu zabezpečení předplatného, úpravě zásad zabezpečení a použití doporučení, zjistěte, jak: